산업 제어 시스템(ICS)은 중요한 인프라를 운영하고 지원하도록 설계돼 에너지 및 공공 시설, 석유 및 가스, 제약 및 화학 생산, 식음료 및 제조 등 산업 분야에서 주로 사용된다. 이 시스템을 공격하면 심각한 손상을 초래할 수 있다. 일례로 2015년 우크라이나 전력망 해킹으로 20만 명이 넘는 사람들이 피해를 입은 적이 있다.
랜섬웨어, 봇넷, 크립토마이너(cryptominers) 등 이러한 시스템을 목표로 하는 악성코드는 계속해서 증가하는 추세다. 카스퍼스키랩에 따르면 2018년 상반기에 ICS 컴퓨터의 40% 이상이 악성 소프트웨어에 의해 적어도 한 번 받은 것으로 파악됐다.
사이버X(CyberX)의 2019년 글로벌 ICS & IIoT 리스크 보고서를 통해 전 세계적으로 850개 이상의 ICS 네트워크에서 실제 네트워크 트래픽 데이터를 분석하여 ICS 환경의 기존 취약점을 파악했다.
이 보고서는 “데이터는 산업 제어 시스템이 계속해서 공격자들의 만만한 대상임을 분명히 보여준다”고 말했다. 이어서 “많은 사이트가 공용 인터넷에 노출되어 일반 텍스트 암호와 같은 간단한 취약점을 사용하여 트래버스하기는 간단하다. 자동 업데이트된 안티 바이러스 같은 기본 보호 기능이 없기 때문에 공격자는 조립 라인, 혼합 탱크, 용광로 같은 물리적인 프로세스를 방해하기 전에 조용히 정찰을 수행할 수 있다”고 덧붙였다.
산업 현장 장비의 40 %가 공용 인터넷에 직접 연결돼 있다
핵심 시스템의 공기층은 여전히 공격 가능성을 낮추는 효과적인 방법이다. 웹에 연결되어 있지 않기 때문에 공격자가 작전을 수행하려면 현장에 있어야 한다. 하지만 많은 기업이 공기층을 확보하지 못하고 있다. 산업 현장의 1/3 이상이 최소한 1개의 인터넷 연결 경로를 보유하고 있다. 쇼단(Shodan) 같은 검색 도구를 이용하면 적절히 보호되지 않아 공격자들이 산업용 네트워크에 쉽게 진입할 수 있는 기기를 쉽게 찾을 수 있다. 공격자들에게는 하나면 충분하다.
사업 현장 중 16%가 최소 1개의 무선 AP(Access Point)가 있으며 84%는 최소 1개의 원격 접근 가능 기기가 있고 둘 다 공격자들에게 추가적인 접속 지점을 제공한다.
현장의 53%는 불필요한 윈도우 시스템이 있다
산업 현장에는 운영체제를 바꾸기는커녕 패치가 어려운 임베디드 시스템이 있는 경우가 많다. 하지만 윈도우 버전이 오래되고 지원되지 않으면 새로운 취약성에 대한 패치가 없어 보안에 큰 구멍이 생길 수 있다. 사이버X가 모니터링한 산업 현장의 절반 이상이 오래되고 지원되지 않는 윈도우 운영체제 에디션을 운용하고 있었다.
윈도우 비스타의 지원은 2017년에 종료되었고 XP는 2014년에 종료되었다. 윈도우 8은 2016년에 종료되었고(8.1은 아직 지원된다.) 윈도우 7은 2020년에 종료될 예정이다. 기업은 마이크로소프트와 지원 연장을 협의할 수 있지만 비용이 발생할 수 있으며 임시방편일 뿐이다.
현장 중 69%는 ICS 네트워크에 일반 텍스트로 된 비밀번호가 있다
일반 텍스트 비밀번호는 태곳적부터 취약했다. 누구든 대상과 방어책에 상관없이 네트워크에 손쉽게 접속할 수 있다. 안타깝게도 산업 조직들은 가장 기본적이고 중요한 죄를 지을 수밖에 없었다. 사이버X는 ICS 네트워크 중 69%에 일반 텍스트 비밀번호가 있다는 사실을 발견했다.
“일반적으로 SNMP v3나 SFTP 같은 현대적이고 안전한 프로토콜을 지원하지 않는 구형 장비와 관련되어 있다”고 해당 보고서를 통해 밝혔다.
현장의 57%는 서명을 자동으로 업데이트하는 백신 보호 장비를 운용하고 있지 않다
2018년 1/4분기 중 카스퍼스키랩은 2,800개의 악성코드에서 파생된 1만 9,000개의 악성코드를 발견했다. 새로운 악성코드가 지속적으로 생겨나면서 조직의 백신 보호 장비에 자동 서명 업데이트를 적용해야 한다. 하지만 산업용 ICS 네트워크 중 절반 이상이 백신 시스템을 자동으로 업데이트하지 않아 공격자들의 공격 확률을 높이고 있다.
ICS 보안 정체
이런 산업용 시스템이 안전하지 않기도 하지만 이 문제를 해결하기 위한 과정의 부재가 더욱 우려된다. 해당 보고서에 따르면, 산업은 지난 1년 동안 크게 바뀌지 않았다. 이전의 연구 이후로 유의미한 변화를 보여주는 유일한 지표는 구형 윈도우 시스템을 사용하는 현장의 감소로 2017년의 76%에서 2018년에는 53%로 감소했다.
보고서는 “아직도 할 일이 많다”며 “운영 기술(OT)과 IT 보안 활동 사이에서 최대 25년의 간격을 메우기 위해 노력하고 있다는 사실을 기억해야 한다”고 밝혔다.
오래된 OT 프로토콜은 시인성이 문제가 된다
산업용 시스템은 오래된 경우가 많다. 교체가 어렵고 비용이 많이 들기 때문에 수년 동안 방치되는 경우가 많다. 사이버X는 자체 연구 표본에서 보편적으로 사용하는 프로토콜이 1979년 모디콘(Modicon, 슈나이더 일렉트릭의 전신)이 공개했던 직렬 통신 프로토콜인 모드버스(Modbus)라는 사실을 발견했다.
하지만 기업 IT 네트워크용으로 고안된 전통적인 모니터링 도구는 모드버스 TCP 같은 OT 전용 프로토콜을 확인할 수 없기 때문에 조직이 OT 네트워크 활동을 거의 확인할 수 없다는 추가적인 모니터링 문제가 발생한다. 카스퍼스키의 조사에 따르면 산업 기업 중 약 절반이 ICS 장비에 대한 공격을 감지할 방법이 없을 것으로 보인다.
더 나은 ICS 보안을 위한 6가지 우수사례
1. 필수 프로세스 식별하기: 어떤 프로세스에 문제가 생겼을 때 기업에 가장 위협이 되는지 확인하고 그 보안을 우선시하자.
2. 네트워크 맵핑(Mapping): 적절한 방어를 위해 무엇을 방어하고 있는지 파악해야 한다. 모든 ICS 자산(모델, 유형, OS, 펌웨어 개정 등), 연결 방식, 네트워크상의 정보 이동 방식, 내부 및 외부 당사자가 이런 자산에 연결하는 방식에 관한 정보를 수집하자.
3. 가능성이 높은 공격 경로 식별하기: 펜(Pen) 시험과 위협 모델링은 공격자들이 네트워크 침투를 시도하고 장비를 해킹하는 방식을 파악하는 데 도움이 될 수 있다. 이 정보를 활용하여 완화책을 마련하고 긴밀한 모니터링을 수립할 수 있다.
4. 건전한 사이버보안 실시하기: 인터넷에 대한 연결체의 수를 줄이고 이중 인증을 실시하며 평문 비밀번호를 사용하지 말고 정기적으로 패치하며 ICS 네트워크에서 승인되지 않은 외부 장비를 허용하지 말자.
5. 감당할 수 있는 OS 업그레이드 일정 수립하기: 산업용 시스템 업데이트가 어려울 수 있지만 중요하며 넓은 공격 범위를 줄여준다. 이에 따라 계획하고 IT팀이 감당할 수 있는 방식으로 업데이트를 배포하자. 업데이트나 교체할 수 없는 시스템을 긴밀하게 분리하고 모니터링하자.
6. OT와 IT 사이의 사일로 없애기: OT 직원을 SOC(Security Operations Center)에 통합하고 IT보안팀이 OT조직에서 근무하며 지식을 교류하고 서로 이런 시스템의 보안을 위한 고유한 요건을 더욱 잘 이해하자.dl-ciokorea@foundryco.com
